合法な攻勢防壁

日本のネットワーク内では2000年ごろにできた不正アクセス禁止法によって、攻勢防壁は違法なのよね。

(それまでは電子威力妨害って法律だから、相手が損害を申告しなければOKだったらしいけど。。)

でもボットに限って言えば、SSHブルートフォースアタックに関して、応答を意図的に遅延させることでボットの拡散速度を抑えられないかなぁ？

これなら合法だし。ボットホストを落とすまではいかないけれども、低速化させることができるはず？

確かにip denyっていう方法もあるんだろうけど、、どうせならいかにも認証中ってしたほうが時間がかせげるだろうし。

もちろん、そのあいだ本物のTCPを張りっぱなしだとこちらのホストのバッファがつらいので、IP層での工夫がいるけど。

そこのところどうなんだろう。ボットのソースよめばわかるかなぁ。。。めどいなぁ。

追記：

意外と簡単に実装できるかも、

ipfwでport 22だけdivertしといて、そこでIP層フック（以後IPフックデーモン)。

SSDH側でこいつまただよ！って思ったら、応答途中でIPフックデーモンにこいつまたせといていって、IPを教えてからshutdown;

フックデーモンは通知があったIPに対してはFIN,RSTを送らないようにマスクする。

もちろんデーモンじゃなくてipfwのルールを追加してもいいけど

port22のためだけにあまりにも重いルールになるのはいやげなので。